中国保险监督管理委员会关于开展保险业信息系统安全检查工作的通知
(保监厅发〔2007〕28号)
各保险公司、保险资产管理公司:
为进一步强化信息安全意识,提高保险业信息安全保障水平,现将开展2007年保险业信息系统安全检查工作有关事项通知如下:
一、信息安全检查的目的、原则和范围
(一)信息安全检查的目的
通过信息安全检查工作,分析网络与信息系统面临的风险,评估网络与信息系统的安全状况,查找薄弱环节和安全隐患,进一步强化信息安全意识,规范信息安全管理,提高保险信息系统的安全保障能力。
(二)信息安全检查的原则
按照“谁主管谁负责,谁运营谁负责”的原则,遵循“统一领导、分级负责,周密部署、务求实效”的方针,突出重点,充分吸纳去年信息安全检查的成功经验,切实做好保险信息系统安全检查工作。
(三)信息安全检查的范围
各保险公司、保险资产管理公司。
二、信息安全检查的方式和具体内容
(一)信息安全检查的方式
以各公司自查为主,中国保监会将组织检查组进行抽查。中国保监会统计信息部负责全行业信息安全检查工作的组织领导,各公司负责各自的信息系统安全自查工作的组织实施。
(二)信息安全检查的具体内容
1、资产调查。对网络与信息系统的资产进行统计调查,并分析其重要程度。资产主要包括网络与信息系统相关的硬件、软件、服务、信息、人员等。
(1)确定自查范围。
(2)对相关资产进行分类。
(3)对资产重要性进行分析。
(4)统计网络设备、安全设备、大型服务器、存储设备、操作系统、数据库等关键资产及信息技术服务和信息安全服务的国产化率。
(5)外国供应商提供产品和服务情况。
资产调查和赋值方法参见附表1和附表2,外国供应商提供产品和服务情况参见附表3。
2、威胁分析。对网络与信息系统所面临的威胁进行分析。
(1)分析威胁来源,包括环境因素和人为因素等。
